Политика аудита

← →
atruhin © (2004-05-03 12:51) [0]

Задавал вопрос неоднократно в разных вариантах и конфах, а ответа всета нету :)
Вопрос. Как перехватить какое-либо событие политики аудита. Например: регистрация пользователя в системе, попытка доступа к файлу и т.д.
На данный момент вопрос чисто теоретический. Душу гложет.
Может кто хоть идею подкинет.
С уважением.

← →
Cobalt (2004-05-19 09:22) [1]

Сомневаюсь, что это реализовано на прикладном уровне - ну разве что на уровне драйверов...

← →
atruhin © (2004-05-19 15:41) [2]

А что в этом такого получить опевещение скажем о записи в журнал события.

← →
Cobalt © (2004-05-19 15:54) [3]

Извините, не так понял.
Может, в журналах есть какая нотификация? (Т.е. не в "политике", а в самих журналах)

← →
Петров Денис © (2004-05-19 18:18) [4]

NotifyChangeEventLog подойдет?

← →
atruhin © (2004-05-21 16:03) [5]

>> Петров Денис
Спасибо. Возможно подойдет в выходные покапаю. Вообще мне нужно отловить событие входа пользователя в домен.
Знает ли кто нибудь что то об этом? В каких журналах, какое событие или хоть ссылку какую. В MSDN не смог найти. Буду благодарен за люые подсказки.

> atruhin © (21.05.04 16:03) [5]
> Знает ли кто нибудь что то об этом?

Дык... а что там копать? :)

Cм. там же, в "Event Logging Functions" в MSDN, раздел "Platform SDK: Debugging and Error Handling". Алгоритм примерно следующий:
1. Создаешь событие.
2. Открываешь нужный журнал, в твоем случае - "Security" (как в русской версии - не помню) с помошью OpenEventLog.
3. Запускаешь отдельный поток, в котором собствено и вызываешь NotifyChangeEventLog.
4. При возникновении события достаточно легко выбрать нужное - см. GetNumberOfEventLogRecords, ReadEventLog EVENTLOGRECORD.
Ну и потребуется разобрать EVENTLOGRECORD.
5. В конце работы закрываешь журнал с помющью CloseEventLog.

По-моему так.

Спасибо.

Политика аудита Найти похожие ветки